Techniques et tactiques de chasse des attaquants utilisant des fichiers Prefetch

Les fichiers de trace, ou fichiers Prefetch, sont apparus sur Windows depuis XP. Depuis lors, ils ont aidé les spécialistes de la criminalistique numérique et de la réponse aux incidents informatiques à trouver des traces de lancements de logiciels, y compris des logiciels malveillants. Oleg Skulkin , spécialiste de premier plan en criminalistique informatique au Groupe IB, explique ce que vous pouvez trouver avec les fichiers Prefetch et comment le faire.

Les fichiers de prélecture sont stockés dans le répertoire% SystemRoot% \ Prefetch et sont utilisés pour accélérer le processus de lancement des programmes. Si nous regardons l'un de ces fichiers, nous verrons que son nom se compose de deux parties: le nom du fichier exécutable et la somme de contrôle du chemin vers celui-ci, composée de huit caractères.

Les fichiers de préextraction contiennent de nombreuses informations utiles du point de vue médico-légal: le nom du fichier exécutable, le nombre de démarrages, les listes de fichiers et de répertoires avec lesquels le fichier exécutable a interagi et, bien sûr, les horodatages. En règle générale, la criminalistique utilise la date de création d'un fichier Prefetch particulier pour déterminer la date de démarrage du programme. De plus, ces fichiers stockent la date de son dernier lancement, et à partir de la version 26 (Windows 8.1), les horodatages des sept derniers lancements.

Prenons l'un des fichiers Prefetch, extrayons les données à l'aide du PECmd d'Eric Zimmerman et examinons chaque partie. Pour démonstration, je vais extraire les données du fichier CCLEANER64.EXE-DE05DBE1.pf .

Commençons donc par le haut. Bien sûr, nous avons des horodatages pour créer, modifier et accéder au fichier:

Ils sont suivis du nom du fichier exécutable, de la somme de contrôle du chemin d'accès, de la taille du fichier exécutable, ainsi que de la version du fichier Prefetch:

Puisque nous avons affaire à Windows 10, nous verrons alors le nombre de lancements, la date et l'heure du dernier lancement, et sept horodatages supplémentaires indiquant les dates de lancement précédentes:

Ils sont suivis d'informations sur le volume, notamment son numéro de série et sa date de création:

Et enfin et surtout, une liste de répertoires et de fichiers avec lesquels l'exécutable a interagi:

Ainsi, les répertoires et fichiers avec lesquels l'exécutable a interagi sont exactement ce sur quoi je veux me concentrer aujourd'hui. Ce sont ces données qui permettent aux spécialistes de la criminalistique numérique, répondant à des incidents informatiques ou à des recherches proactives de menaces, d'établir non seulement le fait de l'exécution d'un fichier, mais, dans certains cas, de reconstruire des tactiques et des techniques spécifiques des attaquants. Aujourd'hui, les attaquants utilisent assez souvent des outils pour supprimer définitivement des données, par exemple SDelete, de sorte que la capacité de récupérer au moins des traces de l'utilisation de certaines tactiques et techniques est tout simplement nécessaire pour tout défenseur moderne - un expert en informatique judiciaire, un spécialiste de la réponse aux incidents, un expert ThreatHunter.

Commençons par la tactique d'accès initial (TA0001) et la technique la plus populaire - Attachement de chasse sous-marine (T1193). Certains groupes cybercriminels sont très créatifs dans le choix de ces pièces jointes. Par exemple, le groupe Silence a utilisé des fichiers CHM (Microsoft Compiled HTML Help) pour cela. Ainsi, nous avons encore une autre technique - Fichier HTML compilé (T1223). Ces fichiers sont lancés à l'aide de hh.exe , par conséquent, si nous extrayons les données de son fichier Prefetch, nous découvrirons quel fichier la victime a ouvert:

Nous continuons à travailler avec des exemples réels et passons à la prochaine tactique d'exécution (TA0002) et à la technique CSMTP (T1191). Le programme d'installation de profil de Microsoft Connection Manager (CMSTP.exe) peut être utilisé par des attaquants pour exécuter des scripts malveillants. Un bon exemple est la bande Cobalt. Si nous extrayons les données du fichier de prélecture cmstp.exe , nous pouvons à nouveau découvrir ce qui a été démarré exactement:

Une autre technique populaire est Regsvr32 (T1117). Regsvr32.exe est également souvent utilisé par les attaquants pour se lancer. Voici un autre exemple du groupe Cobalt: si nous extrayons les données du fichier Prefetch regsvr32.exe , nous verrons à nouveau ce qui a été lancé:

Les tactiques suivantes sont Persistance (TA0003) et Privilege Escalation (TA0004), ainsi que Application Shimming (T1138) en tant que technique. Cette technique a été utilisée par Carbanak / FIN7 pour sécuriser le système. En général, l'utilisation de bases de données contenant des informations sur la compatibilité des programmes (.sdb) utilisait sdbinst.exe . Par conséquent, le fichier de prélecture de ce fichier exécutable peut nous aider à trouver les noms de ces bases de données et leur emplacement:

Comme vous pouvez le voir dans l'illustration, nous avons non seulement le nom du fichier utilisé pour l'installation, mais aussi le nom de la base de données installée.

Jetons un coup d'œil à l'un des exemples les plus courants de voyages en réseau (TA0008), PsExec, qui utilise des ressources administratives partagées (T1077). Un service nommé PSEXECSVC (bien sûr, tout autre nom peut être utilisé si les attaquants ont utilisé l'option -r ) sera créé sur le système cible, donc si nous extrayons les données du fichier Prefetch, nous verrons qu'il a été lancé:

Je terminerai peut-être par ce que j'ai commencé par - supprimer des fichiers (T1107). Comme je l'ai noté, de nombreux attaquants utilisent SDelete pour supprimer définitivement des fichiers à différentes étapes du cycle de vie d'une attaque. Si nous regardons les données du fichier Prefetch sdelete.exe , nous verrons ce qui a été supprimé exactement:

Bien sûr, ce n'est pas une liste exhaustive des techniques que l'on peut trouver lors de l'analyse des fichiers Prefetch, mais cela devrait être suffisant pour comprendre que ces fichiers peuvent non seulement trouver des traces du lancement, mais aussi reconstruire les tactiques et techniques spécifiques des attaquants.

Source: https://habr.com/ru/post/undefined/